950 millions de téléphones Android en danger ! clament d’une seule voix Graham Clueley, le Register, Slashdot ou Ars Technica. En danger d’infection via un MMS forgé capable d’exploiter une faille dans Stargefright, la bibliothèque chargée de traiter les formats multimédia sous Android. A l’origine de cette terrorisante annonce, le laboratoire de recherche zLabs de Zimperium, vendeur de solutions de sécurité pour les flottes mobiles.
A cette annonce, l’on serait tenté de hurler ce vibrant hommage au Guide du Routard Galactique* : « PAS DE PANIIIIQUE ! ». Car il ne s’agit que d’une recherche en chambre, d’une annonce plutôt fracassante destinée à « chauffer la salle » en attendant le grand show, puisque Zimperium organise deux conférences sur le sujet, l’une durant la Black Hat, l’autre à l’occasion de la DefCon.
Mais le risque n’est pas nul, affirment les chercheurs. En admettant que l’exploit soit détenu par quelque membre agissant du côté obscur de la Force, la charge utile devra être envoyée via un MMS, pour pouvoir infecter un appareil mobile à l’insu de son propriétaire, à condition de connaître son numéro de téléphone. Les failles (CVE-2015-1538 CVE-2015-1539 CVE-2015-3824 CVE-2015-3826 CVE-2015-3827 CVE-2015-3828 CVE-2015-3829) visées par ce fichier multimédia infecté concernent toutes les versions d’Android, Lollipop y comprise, les plus vulnérables étant les versions antérieures à Jelly Beans. Si le code est rendu public, le risque d’infection généralisée peut devenir bien réel, puisque Google ne maintient plus les « vieux » noyaux et les constructeurs n’assurent le support de leurs appareils que durant une période très limitée, considérablement inférieure à leur durée de vie. Il y a beaucoup d’Ice Cream Sandwich et de Honeycomb dans la nature.
*NdlC Note de la correctrice : la rédaction ne possède que les premières éditions de l’ouvrage, « anté-procès » pourrait-on dire. Les propriétaires de téléphones Android trouveront leur serviette rangée sur la troisième étagère à gauche.
1 commentaire